search
DocHub

Guia de Integração de Biometria Facial via Protocolo SAML-IPsec

Guia de configuração de VPN IPsec em ambiente FortiGate, utilizando SSO com autenticação SAML integrada à plataforma Facesign para acesso biométrico seguro.

hashtag
Pré-requisitos

Antes de iniciar o processo de configuração, assegure-se de que o seguinte item esteja disponível:

  1. Certificado Digital: O certificado digital fornecido pela Facesign é essencial para estabelecer a confiança entre o FortiGate (Service Provider) e a plataforma Facesign (Identity Provider). Realize a importação deste certificado no seu appliance FortiGate antes de prosseguir.

hashtag
1. Configuração do Single Sign-On (SSO) com Facesign

A primeira etapa consiste em registrar o Facesign como um provedor de identidade SAML no FortiGate.

  1. Acesse a interface de administração do FortiGate e navegue até User & Authentication > Single Sign-On.

  1. Crie uma nova entrada de SSO com as seguintes especificações:

  • Name: Facesign SAML (ou um nome descritivo de sua preferência).

  • Service Provider Configuration:

    • Address: Informe o endereço de acesso externo da sua VPN, no formato vpn.seudominio.com.br:xxxx. É possível utilizar o endereço IP e a porta correspondente.

  • Identity Provider Details:

    • Utilize as URLs (Entity ID, Single Sign-on service URL, Single logout service URL) fornecidas pelo portal da Facesign.

    • Importe o certificado digital da Facesign previamente carregado no FortiGate.

  1. Após a criação, edite a configuração de SSO e, na seção AD FS claim, ative a opção correspondente para garantir a correta interpretação dos atributos de autenticação.

hashtag
2. Configuração do Grupo de Usuários VPN

Crie um grupo de usuários que será associado à autenticação SAML.

  1. Navegue até User & Authentication > User Groups.

  2. Crie um novo grupo de usuários com as seguintes características:

  • Name: GRP_VPN_SAML_FACESIGN (ou um nome descritivo).

  • Type: Firewall.

  • Remote Groups: Adicione o servidor SSO criado na etapa anterior (Facesign SAML) como membro deste grupo.

hashtag
3. Configuração do Túnel VPN IPsec

Esta seção detalha a criação e configuração do túnel IPsec.

  1. Acesse VPN > IPsec Tunnels e inicie o assistente de criação (VPN Creation Wizard).

  2. Selecione o template Custom e defina um nome para o túnel, como SAML_VPN.

  1. Configurações de Rede (Network):

  • IP Version: IPv4.

  • Remote Gateway: Dialup User.

  • Interface: Selecione a interface de WAN correspondente.

  • Client Address Range: Defina a faixa de endereços IP que serão atribuídos aos clientes VPN.

  • DNS Server: Especifique os servidores DNS que serão utilizados pelos clientes conectados.

  • Accessible Networks: Defina as redes internas que poderão ser acessadas através da VPN.

  1. Configurações de Autenticação (Authentication):

  • Method: Pre-shared Key.

  • Version: IKEv2.

  • Peer Types: Any peer ID.

  1. Configurações da Fase 1 (Phase 1 Proposal):

  • Encryption/Authentication: Selecione os algoritmos desejados (ex: AES256/SHA256).

  • Diffie-Hellman Group: Selecione os grupos apropriados (ex: 14, 5).

  • Key Lifetime: 86400 segundos.

  1. Configurações da Fase 2 (Phase 2 Selectors):

  • Encryption/Authentication: Selecione os algoritmos desejados (ex: AES128/SHA256).

  • Enable Perfect Forward Secrecy (PFS): Habilitado.

  • Diffie-Hellman Group: Selecione o grupo apropriado (ex: 5).

  • Key Lifetime: 43200 segundos.

  • Autokey Keep Alive: Habilitado.

hashtag
3.1. Ajustes via Linha de Comando (CLI)

Para habilitar a autenticação EAP (Extensible Authentication Protocol), necessária para a integração SAML, execute os seguintes comandos na CLI do FortiGate:

Em seguida, configure a porta de escuta para a autenticação SAML no modo global:

Finalmente, associe o servidor SAML à interface de rede correspondente:

hashtag
4. Configuração da Política de Acesso (Firewall Policy)

Crie uma política de firewall para permitir o tráfego da VPN para a rede interna.

  1. Navegue até Policy & Objects > Firewall Policy.

  2. Crie uma nova política com os seguintes parâmetros:

  • Name: VPN_SAML_LAN (ou um nome descritivo).

  • Incoming Interface: A interface do túnel IPsec (SAML_VPN).

  • Outgoing Interface: A interface da sua rede local (LAN).

  • Source: O grupo de usuários (GRP_VPN_SAML_FACESIGN) e a faixa de IPs da VPN.

  • Destination: A rede local que será acessada.

  • Service: ALL (ou serviços específicos).

  • Action: ACCEPT.

  • Inspection Mode: Flow-based.

hashtag
5. Configuração do Cliente VPN (FortiClient)

No cliente final, configure a conexão VPN IPsec no FortiClient.

  1. Crie uma nova conexão VPN com as seguintes configurações:

  • VPN Type: IPsec VPN.

  • Connection Name: IPSEC FACESIGN (ou um nome descritivo).

  • Remote Gateway: O endereço externo da sua VPN (vpn.facesign.in).

  • Authentication Method: Pre-shared Key.

  • Single Sign-On (SSO) for VPN Tunnel: Habilitar.

  1. Configure as propostas de Fase 1 e Fase 2 para que correspondam às configurações definidas no firewall (IKE Proposal, DH Group, Key Lifetime, etc.).

hashtag
6. Processo de Conexão e Autenticação

  1. No FortiClient, o usuário seleciona a conexão VPN_SAML_IPSEC e clica em Conectar.

  1. Uma janela de autenticação SAML da Facesign será exibida, solicitando a autenticação biométrica.

  1. Após a verificação biométrica bem-sucedida, a conexão VPN é estabelecida, e o usuário terá acesso aos recursos da rede interna definidos na política de firewall.

hashtag
Suporte e Contato

Para suporte técnico ou dúvidas, utilize o Portal Admin FaceSign ou entre em contato com nossa equipe através dos canais oficiais.

AnteriorGuia de Integração de Biometria Facial via Protocolo SAML-SSLPróximoCRM

Atualizado